掃瞄工具-nikto
#基於web的掃瞄工具,基本都支援兩種掃瞄模式。**截斷模式,主動掃瞄模式
手動掃瞄:作為使用者操作發現頁面存在的問題,但可能會存在遺漏
自動掃瞄:基於字典,提高速度,但存在誤報和觸發警告
nikto【純主動型】
nikto 是一款perl語言開發的開源**的、功能強大的web掃瞄評估軟體,能對web伺服器多種安全專案進行測試的掃瞄軟體。掃瞄內容:
1、軟體版本
3、伺服器配置漏洞【元件可能存在預設配置】5、避免404誤判
·很多伺服器不遵守rfc標準,對於不存在的物件返回200響應碼·依據響應檔案內容判斷,不同副檔名【jsp、cji】的檔案404響應內容不同
·去除時間資訊後的內容取md5值
·引數:-no404【不進行誤判嘗試判斷,可能存在誤判】
命令詳解:nikto -list-plugins #外掛程式列表nikto -host #指定**目錄掃瞄
nikto -host 192.168.1.1.109 -port 80,443 #可指定多個埠【加-output:輸出結果】
nikto -host host.txt #掃瞄多個ip
nmap -p80 192.168.1.0/24 -og - | nikto -host - #結合nmap,對乙個網段內開放了80埠的主機進行掃瞄
nikto -host -useproxy http://localhost:8087 #使用**
nikto -h c.163.com -p 443 -o /root/result.html -f htm #輸出結果到html檔案
互動性引數【用於掃瞄過程中】
回車:報告當前狀態
v:正在掃瞄的詳細資訊(路徑,結果等)#再按v就停止
d:極其詳細的資訊,包括傳輸內容 #
e:錯誤資訊 #
p:顯示進度 #
r:重定向 #
c:cookie
a:身份認證
q:退出
n:下乙個主機(用於多個ip)
p:暫停
nikto配置檔案【大部分需要登入進**,才能進行掃瞄】
-id+ #使用http身份認證【但現在很少】支援指定cookie
#修改useagent【預設配置,容易被管理員發現】
#抓包分析,獲取cookie
#修改cookie資訊【讓nikto獲得身份認證,進行進一步掃瞄】
-evasion:使用libwhisker中對ids的逃避技術,可使用以下幾種型別
1、隨機url編碼(非utf-8方式)
2、自選路徑(/./)
3、過早結束的url
4、優先考慮長隨機字串
5、引數欺騙
6、使用tab作為命令的分隔符
7、使用變化的url
8、使用windows路徑分隔符」\「
小白學習安全測試(三) 掃瞄工具 Nikto使用
掃瞄工具 nikto 基於web的掃瞄工具,基本都支援兩種掃瞄模式。截斷模式,主動掃瞄模式 手動掃瞄 作為使用者操作發現頁面存在的問題,但可能會存在遺漏 自動掃瞄 基於字典,提高速度,但存在誤報和觸發警告 nikto 純主動型 nikto 是一款perl語言開發的開源 的 功能強大的web掃瞄評估軟...
web安全測試 AppScan掃瞄工具
1.您需要everyone提供的許可權才能對此檔案進行更改 解決方法 你用的是win7系統吧,更改下許可權就行了。右擊檔案 屬性 安全 選擇 組或使用者名稱 everyone 你現在使用的賬戶 新增完全控制許可權 確定。如果everyone不在列表,則點 新增 對話方塊中鍵入everyone 高階 ...
Sitadel Web安全掃瞄工具
sitadel web安全掃瞄工具基本上是wascan的更新,使其與python相容,它為您提供了更大的靈活性,使您可以編寫新模組並實現新功能 前端框架檢測 內容交付網路檢測 定義風險級別以允許進行掃瞄 外掛程式系統 可用於構建和執行的docker映像 installation sitadel we...